<!DOCTYPE html>
<html lang="zh-cn">
<head>
  <meta charset="utf-8">
  <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
  <title>OpenSSL Heartbleed（心脏出血）漏洞介绍及动态 - Feng&#39;s Blog - 大灰鼠的博客</title>
  <meta name="renderer" content="webkit" />
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1"/>

<meta http-equiv="Cache-Control" content="no-transform" />
<meta http-equiv="Cache-Control" content="no-siteapp" />

<meta name="theme-color" content="#f8f5ec" />
<meta name="msapplication-navbutton-color" content="#f8f5ec">
<meta name="apple-mobile-web-app-capable" content="yes">
<meta name="apple-mobile-web-app-status-bar-style" content="#f8f5ec">


<meta name="author" content="Feng" /><meta name="description" content="OpenSSL漏洞介绍 漏洞简介： 2014年4月7日OpenSSL发布了安全公告，在OpenSSL1.0.1版本的心跳包模块存在严重漏洞（CV" /><meta name="keywords" content="feng, 折腾人生, 电脑维修, 手机玩转, 技术心得, 拆机, 网站建设, 快乐悠悠, uu, 悠悠, 博客" />






<meta name="generator" content="Hugo 0.76.5 with theme even" />


<link rel="canonical" href="https://uu126.gitee.io/2014/107.html" />
<link rel="apple-touch-icon" sizes="180x180" href="/apple-touch-icon.png">
<link rel="icon" type="image/png" sizes="32x32" href="/favicon-32x32.png">
<link rel="icon" type="image/png" sizes="16x16" href="/favicon-16x16.png">
<link rel="manifest" href="/manifest.json">
<link rel="mask-icon" href="/safari-pinned-tab.svg" color="#5bbad5">



<link href="/sass/main.min.c7bc1becf36bcf6a9ebd25d2947e43a2eb745ddb0c9a32b43126fd7fa460c351.css" rel="stylesheet">
<link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/@fancyapps/fancybox@3.1.20/dist/jquery.fancybox.min.css" integrity="sha256-7TyXnr2YU040zfSP+rEcz29ggW4j56/ujTPwjMzyqFY=" crossorigin="anonymous">


<meta property="og:title" content="OpenSSL Heartbleed（心脏出血）漏洞介绍及动态" />
<meta property="og:description" content="OpenSSL漏洞介绍 漏洞简介： 2014年4月7日OpenSSL发布了安全公告，在OpenSSL1.0.1版本的心跳包模块存在严重漏洞（CV" />
<meta property="og:type" content="article" />
<meta property="og:url" content="https://uu126.gitee.io/2014/107.html" />
<meta property="article:published_time" content="2014-04-13T21:31:39+00:00" />
<meta property="article:modified_time" content="2014-04-13T21:31:39+00:00" />
<meta itemprop="name" content="OpenSSL Heartbleed（心脏出血）漏洞介绍及动态">
<meta itemprop="description" content="OpenSSL漏洞介绍 漏洞简介： 2014年4月7日OpenSSL发布了安全公告，在OpenSSL1.0.1版本的心跳包模块存在严重漏洞（CV">
<meta itemprop="datePublished" content="2014-04-13T21:31:39+00:00" />
<meta itemprop="dateModified" content="2014-04-13T21:31:39+00:00" />
<meta itemprop="wordCount" content="2424">



<meta itemprop="keywords" content="服务器,淘宝," />
<meta name="twitter:card" content="summary"/>
<meta name="twitter:title" content="OpenSSL Heartbleed（心脏出血）漏洞介绍及动态"/>
<meta name="twitter:description" content="OpenSSL漏洞介绍 漏洞简介： 2014年4月7日OpenSSL发布了安全公告，在OpenSSL1.0.1版本的心跳包模块存在严重漏洞（CV"/>

<!--[if lte IE 9]>
  <script src="https://cdnjs.cloudflare.com/ajax/libs/classlist/1.1.20170427/classList.min.js"></script>
<![endif]-->

<!--[if lt IE 9]>
  <script src="https://cdn.jsdelivr.net/npm/html5shiv@3.7.3/dist/html5shiv.min.js"></script>
  <script src="https://cdn.jsdelivr.net/npm/respond.js@1.4.2/dest/respond.min.js"></script>
<![endif]-->

</head>
<body>
  <div id="mobile-navbar" class="mobile-navbar">
  <div class="mobile-header-logo">
    <a href="/" class="logo">Feng&#39;s Blog</a>
  </div>
  <div class="mobile-navbar-icon">
    <span></span>
    <span></span>
    <span></span>
  </div>
</div>
<nav id="mobile-menu" class="mobile-menu slideout-menu">
  <ul class="mobile-menu-list">
    <a href="/">
        <li class="mobile-menu-item">Home</li>
      </a><a href="/post/">
        <li class="mobile-menu-item">Archives</li>
      </a><a href="/tags/">
        <li class="mobile-menu-item">Tags</li>
      </a><a href="/links/">
        <li class="mobile-menu-item">Links</li>
      </a><a href="/ly/">
        <li class="mobile-menu-item">Ly</li>
      </a><a href="/about/">
        <li class="mobile-menu-item">About</li>
      </a>
  </ul>
</nav>
  <div class="container" id="mobile-panel">
    <header id="header" class="header">
        <div class="logo-wrapper">
  <a href="/" class="logo">Feng&#39;s Blog</a>
</div>

<nav class="site-navbar">
  <ul id="menu" class="menu">
    <li class="menu-item">
        <a class="menu-item-link" href="/">Home</a>
      </li><li class="menu-item">
        <a class="menu-item-link" href="/post/">Archives</a>
      </li><li class="menu-item">
        <a class="menu-item-link" href="/tags/">Tags</a>
      </li><li class="menu-item">
        <a class="menu-item-link" href="/links/">Links</a>
      </li><li class="menu-item">
        <a class="menu-item-link" href="/ly/">Ly</a>
      </li><li class="menu-item">
        <a class="menu-item-link" href="/about/">About</a>
      </li>
  </ul>
</nav>
    </header>

    <main id="main" class="main">
      <div class="content-wrapper">
        <div id="content" class="content">
          <article class="post">
    
    <header class="post-header">
      <h1 class="post-title">OpenSSL Heartbleed（心脏出血）漏洞介绍及动态</h1>

      <div class="post-meta">
        <span class="post-time"> 2014-04-13 </span>
        <div class="post-category">
            <a href="/categories/%E7%94%9F%E6%B4%BB%E7%99%BE%E6%80%81/"> 生活百态 </a>
            </div>
          <span class="more-meta"> 约 2424 字 </span>
          <span class="more-meta"> 预计阅读 5 分钟 </span>
        
      </div>
    </header>

    <div class="post-toc" id="post-toc">
  <h2 class="post-toc-title">文章目录</h2>
  <div class="post-toc-content always-active">
    <nav id="TableOfContents">
  <ul>
    <li>
      <ul>
        <li><a href="#openssl漏洞介绍">OpenSSL漏洞介绍</a>
          <ul>
            <li><a href="#漏洞简介">漏洞简介：</a></li>
            <li><a href="#漏洞影响">漏洞影响：</a></li>
            <li><a href="#openssl受影响和不受影响版本">OpenSSL受影响和不受影响版本：</a></li>
            <li><a href="#什么是ssl">什么是SSL？</a></li>
            <li><a href="#什么是心脏出血漏洞">什么是“心脏出血”漏洞？</a></li>
          </ul>
        </li>
      </ul>
    </li>
  </ul>
</nav>
  </div>
</div>
    <div class="post-content">
      <h2 id="openssl漏洞介绍">OpenSSL漏洞介绍</h2>
<h3 id="漏洞简介">漏洞简介：</h3>
<p>2014年4月7日OpenSSL发布了安全公告，在OpenSSL1.0.1版本的心跳包模块存在严重漏洞（CVE-2014-0160）。攻击者可以通过构造特殊的数据包，直接远程读取存在漏洞的OpenSSL服务器内存中多达64KB的数据，极有可能导致网站用户帐号密码等敏感数据被非法获取。漏洞发现者甚至声称可以直接获取到证书私钥和重要的商业文档。</p>
<h3 id="漏洞影响">漏洞影响：</h3>
<p>国内大量使用HTTPS协议的网站相当一部分都存在此漏洞，其中不乏知名电子商务网站及提供关键服务（邮箱、社交等网站），此次曝光的漏洞非常严重，安全威胁不容小觑。</p>
<h3 id="openssl受影响和不受影响版本">OpenSSL受影响和不受影响版本：</h3>
<p>OpenSSL 1.0.1f（受影响）<br>
OpenSSL 1.0.1g （不受影响）<br>
OpenSSL 1.0.0 branch （不受影响）<br>
OpenSSL 0.9.8 branch （不受影响）</p>
<h3 id="什么是ssl">什么是SSL？</h3>
<p>SSL是一种流行的加密技术，可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时，就会在URL地址旁看到一个“锁”，表明你在该网站上的通讯信息都被加密。<br>
这个“锁”表明，第三方无法读取你与该网站之间的任何通讯信息。在后台，通过SSL加密的数据只有接收者才能解密。很多大型网络服务都已经默认利用这项技术加密数据。如今，谷歌、雅虎和Facebook都在使用SSL默认对其网站和网络服务进行加密。</p>
<h3 id="什么是心脏出血漏洞">什么是“心脏出血”漏洞？</h3>
<p>多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一，研究人员宣布这款软件存在严重漏洞，可能导致用户的通讯信息暴露给攻击者。OpenSSL大约两年前就已经存在这一缺陷。</p>
<div>
  <h3>
    OpenSSL漏洞工作原理：
  </h3>
  <p>
    SSL标准包含一个心跳选项，允许SSL连接一端的电脑发出一条简短的信息，确认另一端的电脑仍然在线，并获取反馈。研究人员发现，可以通过巧妙的手段发出恶意心跳信息，欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗，并发送服务器内存中的信息。
  </p>
  <h3>
    该漏洞的影响大不大？
  </h3>
  <p>
    很大，因为有很多隐私信息都存储在服务器内存中。使用这项技术的攻击者可以通过模式匹配对信息进行分类整理，从而找出密钥、密码，以及信用卡号等个人信息。<br /> 丢失了信用卡号和密码的危害有多大，相信已经不言而喻。但密钥被盗的后果可能更加严重：这是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥，便可读取其收到的任何信息，甚至能够利用密钥假冒服务器，欺骗用户泄露密码和其他敏感信息。
  </p>
  <h3>
    网站怎么办？
  </h3>
  <p>
    网站管理员应尽快升级OpenSSL到1.0.1g。
  </p>
  <h3>
    网民怎么办？
  </h3>
  <p>
    1.注意观察相关事件进展，目前尚无法准确评估黑客利用OpenSSL漏洞获得了多少数据。<br /> 2.对重要服务，尽可能开通手机验证或动态密码，比如支付宝、邮箱等，登录重要服务，不仅仅需要验证用户名密码，最好绑定手机，加手机验证码登录。这样就算黑客拿到帐户密码，登录还有另一道门槛。<br /> 3.随着事件进展，一些知名网站已修复安全漏洞，此时用户可以修改重要服务的登录密码。专家建议：一个密码的使用时间不宜过长，超过3个月就该更换了。
  </p>
</div>
<div>
</div>
<!-- footer -->
<div>
  <h2>
    相关动态
  </h2>
  <h3>
    已修复漏洞的知名网站
  </h3>
  <dl>
    <dt>
      银行
    </dt>
<pre><code>&lt;dd&gt;
  中国工商银行   www.icbc.com.cn
&lt;/dd&gt;

&lt;dd&gt;
  招商银行   www.cmbchina.com
&lt;/dd&gt;

&lt;dd&gt;
  中国农业银行   www.abchina.com
&lt;/dd&gt;

&lt;dd&gt;
  广东发展银行   ebank.gdb.com.cn
&lt;/dd&gt;

&lt;dd&gt;
  中国银行   www.boc.cn
&lt;/dd&gt;

&lt;dd&gt;
  深圳发展银行   bank.pingan.com
&lt;/dd&gt;

&lt;dd&gt;
  中国建设银行   www.ccb.cn
&lt;/dd&gt;

&lt;dd&gt;
  兴业银行   www.cib.com.cn
&lt;/dd&gt;

&lt;dd&gt;
  交通银行   www.bankcomm.com
&lt;/dd&gt;

&lt;dd&gt;
  上海浦东发展银行   www.spdb.com.cn
&lt;/dd&gt;

&lt;dd&gt;
  中信实业银行   www.ecitic.com
&lt;/dd&gt;

&lt;dd&gt;
  上海银行   www.bankofshanghai.com.cn
&lt;/dd&gt;

&lt;dd&gt;
  中国光大银行   www.cebbank.com
&lt;/dd&gt;

&lt;dd&gt;
  宁波市商业银行   www.nbcb.com.cn
&lt;/dd&gt;

&lt;dd&gt;
  中国民生银行   www.cmbc.com.cn
&lt;/dd&gt;
</code></pre>
  </dl>
  <dl>
    <dt>
      电商
    </dt>
<pre><code>&lt;dd&gt;
  淘宝   www.taobao.com
&lt;/dd&gt;

&lt;dd&gt;
  支付宝   www.alipay.com
&lt;/dd&gt;

&lt;dd&gt;
  京东   www.jd.com
&lt;/dd&gt;

&lt;dd&gt;
  卓越   www.amazon.cn
&lt;/dd&gt;

&lt;dd&gt;
  易迅   www.yixun.com
&lt;/dd&gt;

&lt;dd&gt;
  新蛋   www.newegg.cn
&lt;/dd&gt;
</code></pre>
  </dl>
  <dl>
    <dt>
      门户
    </dt>
<pre><code>&lt;dd&gt;
  新浪   www.sina.com.cn
&lt;/dd&gt;

&lt;dd&gt;
  网易   www.163.com
&lt;/dd&gt;

&lt;dd&gt;
  雅虎   www.yahoo.com
&lt;/dd&gt;

&lt;dd&gt;
  腾讯   www.qq.com
&lt;/dd&gt;
</code></pre>
  </dl>
  <h3>
    未修复漏洞的网站
  </h3>
  <ul>
    <!--
<li>www.273.cn</li>
<p>&ndash;&gt;</p></p>
<pre><code>&lt;li&gt;
  aoyama-platinum.com
&lt;/li&gt;
&lt;li&gt;
  bookstores.umn.edu
&lt;/li&gt;
&lt;li&gt;
  www3.startsupport.com
&lt;/li&gt;
&lt;li&gt;
  cvvshop.lv
&lt;/li&gt;
&lt;li&gt;
  gdx.gestamp.com
&lt;/li&gt;
&lt;li&gt;
  555wang.com
&lt;/li&gt;
&lt;li&gt;
  c.108198.com
&lt;/li&gt;
&lt;li&gt;
  210.237.109.229
&lt;/li&gt;
&lt;li&gt;
  jc3.guiguyun.cn
&lt;/li&gt;
&lt;li&gt;
  snowsummit.tv
&lt;/li&gt;
&lt;li&gt;
  websterandsons.filecamp.com
&lt;/li&gt;
&lt;li&gt;
  220.248.244.12
&lt;/li&gt;
&lt;li&gt;
  oa1.zrjt.com.cn
&lt;/li&gt;
&lt;li&gt;
  catwebedi.com
&lt;/li&gt;
&lt;li&gt;
  esupplier.amat.com
&lt;/li&gt;
&lt;li&gt;
  trac.syous.co.jp
&lt;/li&gt;
&lt;li&gt;
  218.106.152.82
&lt;/li&gt;
&lt;li&gt;
  liji-ccms.fenxibao.com
&lt;/li&gt;
&lt;li&gt;
  elearning2.danahertm.com
&lt;/li&gt;
&lt;li&gt;
  sellerpartner.dxmallcloud.com
&lt;/li&gt;
</code></pre>
  </ul>
  <h3>
    新闻动态
  </h3>
  <p>
    OpenSSL安全漏洞威胁升级 电脑手机均可能被窃取隐私<br /> 4月11日消息，互联网严重安全漏洞OpenSSL“心脏出血”的威胁仍在发酵。金山毒霸安全中心研究发现，不仅网民访问https攻击网站会泄露个人隐私信息，而且使用包含OpenSSL代码库的一些电脑软件，甚至安卓APP、浏览器，都有可能面临隐私被窃取的风险。<br /> 金山毒霸安全专家指出，国外已有黑客将针对个人电脑、手机、平板设备的攻击代码公开，可能已在黑客圈大面积传播。黑客利用OpenSSL“心脏出血”漏洞构造特殊网页，诱骗网民点击访问。<br /> 当用户电脑或移动电子设备使用了OpenSSL的软件，访问到上述攻击网页时，黑客就通过服务器发送恶意“心跳包”（定时发送的通讯包）给客户端，利用漏洞多次远程读取用户系统内存数据，盗取用户数字证书，帐号，密码，上网记录等重要信息。<br /> OpenSSL Heartbleed（“心脏出血”）漏洞被业内称为2014年度最重大的安全漏洞之一，它不久前由安全公司Codenomicon和谷歌的工程师发现，漏洞编号CVE-2014-0160。<br /> 由于OpenSSL协议广泛应用于网银、在线支付、电子邮件、电商等重要网站，所以利用此漏洞的黑客只需坐在电脑前，即可实时获取约30%以https开头网址的用户登录账号密码。<br /> 据最新消息，该漏洞不仅影响了大量网站服务器，也存在于思科和Juniper的网络设备中。思科已经列出了10余款被确认存在漏洞的产品，而另60余款产品可能受到影响，但调查仍在进行中。<br /> 除网络设备之外，一些手机系统也存在“心脏出血”漏洞。谷歌近日发布公告证实安卓手机用户同样受到此漏洞的威胁。谷歌称安卓系统的4.1.1版采用了有漏洞版本的OpenSSL协议库，用户同样面临隐私遭窃取的风险。<br /> 据安全圈人士透露，由于OpenSSL漏洞的出现，在近日的地下交易市场中，各种兜售非法数据的交易显得异常火爆。<br /> 目前，国内外众多网站和网络服务商正积极应对此次重大安全事件。金山毒霸安全中心分析，截止目前，包括工行、建行、农行、交行、招行等较大的银行网站，支付宝、淘宝、京东、卓越等电商及支付网站，新浪、腾讯、网易等门户网站，国内网民经常使用的知名网站服务已修复该漏洞。但是，国内仍有部分网站仍未修复，尚存风险。
  </p>
</div>
    </div>

    <div class="post-copyright">
  <p class="copyright-item">
    <span class="item-title">文章作者</span>
    <span class="item-content">Feng</span>
  </p>
  <p class="copyright-item">
    <span class="item-title">上次更新</span>
    <span class="item-content">
        2014-04-13
        
    </span>
  </p>
  
  
</div>
<div class="post-reward">
  <input type="checkbox" name="reward" id="reward" hidden />
  <label class="reward-button" for="reward">赞赏支持</label>
  <div class="qr-code">
    
    <label class="qr-code-image" for="reward">
        <img class="image" src="https://cdn.uu126.cn/hugo/wechat.png">
        <span>微信打赏</span>
      </label>
    <label class="qr-code-image" for="reward">
        <img class="image" src="https://cdn.uu126.cn/hugo/alipay.png">
        <span>支付宝打赏</span>
      </label>
  </div>
</div><footer class="post-footer">
      <div class="post-tags">
          <a href="/tags/%E6%9C%8D%E5%8A%A1%E5%99%A8/">服务器</a>
          <a href="/tags/%E6%B7%98%E5%AE%9D/">淘宝</a>
          </div>
      <nav class="post-nav">
        <a class="prev" href="/2014/108.html">
            <i class="iconfont icon-left"></i>
            <span class="prev-text nav-default">360云主机免费试用</span>
            <span class="prev-text nav-mobile">上一篇</span>
          </a>
        <a class="next" href="/2014/106.html">
            <span class="next-text nav-default">全国统一开展“扫黄打非·净网2014”专项行动</span>
            <span class="next-text nav-mobile">下一篇</span>
            <i class="iconfont icon-right"></i>
          </a>
      </nav>
    </footer>
  </article>
        </div>
        

  
  <div id="vcomments"></div>
  <script src="//cdn1.lncld.net/static/js/3.0.4/av-min.js"></script>
  <script src='//unpkg.com/valine/dist/Valine.min.js'></script>
  <script type="text/javascript">
    new Valine({
        el: '#vcomments' ,
        appId: '5sMkTX4FLjetFnfbOhaDTCDJ-9Nh9j0Va',
        appKey: '25KXCqIqAN142RQn4fBrsI87',
        notify:  false ,
        verify:  false ,
        avatar:'mm',
        placeholder: '说点什么吧...',
        visitor:  false 
    });
  </script>

  

      </div>
    </main>

    <footer id="footer" class="footer">
      <div class="social-links">
  <a href="https://uu126.gitee.io/index.xml" type="application/rss+xml" class="iconfont icon-rss" title="rss"></a>
</div>

<div class="copyright">
  <span class="copyright-year">  
  Hosted by <a href="https://pages.coding.me" style="font-weight: bold">Coding Pages</a> + <a href="https://cloud.tencent.com/redirect.php?redirect=1005&cps_key=4e78216aea817227ff0c96d93a00fd4b" target="_blank" rel="nofollow">腾讯云 + </a><a href="https://console.upyun.com/register/?invite=S1JeTquHL" target="_blank" rel="nofollow"><span class="with-love"><img src="https://cdn.lancn.cn/images/upyun.png" style="width:45px;vertical-align:middle;" alt="又拍云存储"></span></a>
   </span> 
  <div class="busuanzi-footer">
    <a target="_blank"  href="http://www.beian.miit.gov.cn">浙ICP备11026647号-3</a><span class="post-meta-divider"> | </span><a target="_blank" href="http://www.beian.gov.cn/portal/registerSystemInfo?recordcode=33088102001325"><span class="with-love"><img src="https://cdn.uu126.cn/icon-police.png" style="width:14px;"></span> 浙公网安备33088102001325号</a>
  </div>
  <span class="power-by">
    由 <a class="hexo-link" href="https://gohugo.io">Hugo</a> 强力驱动
  </span>
  <span class="division">|</span>
  <span class="theme-info">
    主题 - 
    <a class="theme-link" href="https://github.com/olOwOlo/hugo-theme-even">Even</a>
  </span>
   

  

  <span class="copyright-year">
    &copy; 
    2012 - 
    2020<span class="heart"><i class="iconfont icon-heart"></i></span><span>Feng</span>
  </span>
</div>

    </footer>

    <div class="back-to-top" id="back-to-top">
      <i class="iconfont icon-up"></i>
    </div>
  </div>
  <script src="/lib/highlight/highlight.pack.js?v=20171001"></script>
  <script src="https://cdn.jsdelivr.net/npm/jquery@3.2.1/dist/jquery.min.js" integrity="sha256-hwg4gsxgFZhOsEEamdOYGBf13FyQuiTwlAQgxVSNgt4=" crossorigin="anonymous"></script>
  <script src="https://cdn.jsdelivr.net/npm/slideout@1.0.1/dist/slideout.min.js" integrity="sha256-t+zJ/g8/KXIJMjSVQdnibt4dlaDxc9zXr/9oNPeWqdg=" crossorigin="anonymous"></script>
  <script src="https://cdn.jsdelivr.net/npm/@fancyapps/fancybox@3.1.20/dist/jquery.fancybox.min.js" integrity="sha256-XVLffZaxoWfGUEbdzuLi7pwaUJv1cecsQJQqGLe7axY=" crossorigin="anonymous"></script>



<script type="text/javascript" src="/js/main.min.c12618f9a600c40bd024996677e951e64d3487006775aeb22e200c990006c5c7.js"></script>








</body>
</html>
